这是一个shiro550反序列化漏洞的利用工具,只有shiro自身链,能够攻击没有使用cc链的目标,能够探测commons beautils的版本和加解密模式,并根据版本和加密模式来达成命令执行。暂时只有TomcatEcho回显方式
运行要求,有java环境,java也在环境变量中
需要自己提供密钥,没有密钥爆破功能
命令行启动程序
python main.py --url http://target/ --key shiro-key
运行实例
-
Notifications
You must be signed in to change notification settings - Fork 0
GXshushu/shiro-noCC-killer
About
针对shiro无cc链下的利用,可探测多个cb组件版本不遗漏
Resources
Stars
Watchers
Forks
Releases
No releases published
Packages 0
No packages published